บทความนี้เกี่ยวกับช่องโหว่ความปลอดภัยที่มีผลต่อไฟร์วอลล์ SonicWall ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยการเชื่อมต่อ VPN ได้โดยไม่ต้องผ่านการยืนยันตัวตน ข้อบกพร่องนี้ได้รับการระบุเป็น CVE-2024-53704 และนักวิจัยจาก Bishop Fox ได้เปิดเผยรายละเอียดการทำงานของการโจมตีทั้งหมด ทำให้ผู้ดูแลระบบเครือข่ายต้องรีบอัพเดตเฟิร์มแวร์ของ SonicOS เพื่อป้องกันการโจมตี ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมการเชื่อมต่อ VPN ที่กำลังใช้งานอยู่ได้โดยการส่งคุกกี้ที่ถูกดัดแปลงไปยังปลายทางการยืนยันตัวตนของ SSL VPN ที่ '/cgi-bin/sslvpnclient' วิธีนี้ทำให้ระบบไม่สามารถตรวจสอบการเชื่อมต่อได้ถูกต้อง และให้สิทธิ์ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อ Bishop Fox ได้ประกาศว่าพวกเขาได้พัฒนาโปรแกรมการโจมตีที่ทำงานได้จริงและสามารถจำลองการโจมตีเพื่อยืนยันช่องโหว่นี้ ซึ่งการโจมตีทำให้พวกเขาสามารถระบุตัวตนของผู้ใช้งานและโดเมนของการเชื่อมต่อที่ถูกขโมยได้ รวมถึงสามารถเข้าถึงการตั้งค่าและทรัพยากรเครือข่ายภายในของเหยื่อ SonicWall ได้ออกการอัพเดตเฟิร์มแวร์เพื่อแก้ไขปัญหานี้แล้ว สำหรับเวอร์ชัน 7.1.x ถึง 7.1.1-7058, 7.1.2-7019, และ 8.0.0-8035 โดยผู้ดูแลระบบควรอัพเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตี https://www.bleepingcomputer.com/news/security/sonicwall-firewall-exploit-lets-hackers-hijack-vpn-sessions-patch-now/

Fortinet ได้ออกคำเตือนเกี่ยวกับข้อบกพร่องของระบบที่เป็น Zero-Day ซึ่งทำให้แฮ็กเกอร์สามารถแฮ็คไฟร์วอลล์ของ Fortinet และบุกรุกเครือข่ายองค์กรได้ ข้อบกพร่องนี้เรียกว่า CVE-2025-24472 ซึ่งอนุญาตให้แฮ็กเกอร์สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบสูงสุดได้โดยการทำคำขอ CSF Proxy ที่ถูกดัดแปลง ข้อบกพร่องนี้ส่งผลกระทบต่อ FortiOS เวอร์ชัน 7.0.0 ถึง 7.0.16 และ FortiProxy เวอร์ชัน 7.0.0 ถึง 7.0.19 และ 7.2.0 ถึง 7.2.12 Fortinet ได้เพิ่มข้อบกพร่องนี้เข้าไปในประกาศความปลอดภัยที่ออกเมื่อเดือนที่แล้ว และแนะนำให้ผู้ดูแลระบบดำเนินมาตรการเพื่อป้องกันการโจมตี จากรายงานของ Arctic Wolf พบว่ามีการโจมตีไฟร์วอลล์ FortiGate ของ Fortinet ที่มีการเปิดเผยข้อมูลสู่สาธารณะตั้งแต่กลางเดือนพฤศจิกายนปีที่แล้ว โดยมีการสร้างบัญชีผู้ใช้งานใหม่และทำการปรับแต่งการตั้งค่าเพื่อเข้าถึงเครือข่ายภายใน Fortinet แนะนำว่าผู้ดูแลระบบที่ยังไม่สามารถอัพเดตความปลอดภัยได้ทันทีควรปิดการเข้าถึงอินเตอร์เฟซการจัดการ HTTP/HTTPS หรือจำกัดที่อยู่ IP ที่สามารถเข้าถึงได้เป็นวิธีการชั่วคราว https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-zero-day-exploited-to-hijack-firewalls/

พบช่องโหว่ร้ายแรงในระบบป้องกันไฟร์วอลล์ KerioControl ของ GFI ที่มีผู้ใช้งานมากกว่า 12,000 รายทั่วโลก ช่องโหว่นี้ทำให้สามารถทำการโจมตีทางรหัสจากระยะไกล (Remote Code Execution - RCE) ได้ KerioControl เป็นชุดความปลอดภัยเครือข่ายที่ใช้ในการจัดการ VPN การควบคุมแบนด์วิดท์ การรายงานและการตรวจสอบ การกรองทราฟิก การป้องกันไวรัส และการป้องกันการบุกรุก ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ Egidio Romano (EgiX) ในกลางเดือนธันวาคมที่ผ่านมา และเขาได้แสดงให้เห็นว่าช่องโหว่นี้สามารถใช้โจมตีได้โดยการคลิกเพียงครั้งเดียว GFI Software ได้ปล่อยอัปเดตความปลอดภัยเวอร์ชัน 9.4.5 Patch 1 เมื่อวันที่ 19 ธันวาคม 2024 แต่มากกว่า 23,800 ระบบยังคงมีช่องโหว่นี้อยู่ เมื่อต้นเดือนที่ผ่านมา Greynoise รายงานว่ามีการโจมตีที่ใช้ช่องโหว่นี้เพื่อขโมยโทเค็น CSRF ของแอดมินและมีการโจมตีจริงตามมาจากบริการตรวจสอบภัยคุกคาม The Shadowserver Foundation ที่พบว่ามีระบบ KerioControl ที่ยังคงมีช่องโหว่จำนวน 12,229 ระบบ ช่องโหว่นี้สามารถถูกใช้งานโดยแฮกเกอร์ที่ไม่มีทักษะเฉพาะเพราะมี PoC (Proof-of-Concept) ที่เป็นสาธารณะ ช่องโหว่นี้เกี่ยวข้องกับการจัดการพารามิเตอร์ GET ของหน้าเว็บที่ไม่ถูกทำความสะอาดอย่างเหมาะสมก่อนที่จะถูกใช้ในการสร้าง HTTP header ทำให้สามารถทำการโจมตีแบบ HTTP Response Splitting และ Reflected XSS ได้ ซึ่งอาจนำไปสู่การโจมตี RCE ได้ในที่สุด หากคุณยังไม่ได้อัปเดตความปลอดภัย ควรติดตั้ง KerioControl เวอร์ชัน 9.4.5 Patch 2 ที่ปล่อยออกมาเมื่อวันที่ 31 มกราคม 2025 ซึ่งมีการปรับปรุงความปลอดภัยเพิ่มเติม https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/

มีกลุ่มแฮ็กเกอร์กำลังใช้ช่องโหว่ Denial of Service (DoS) ที่ชื่อว่า CVE-2024-3393 เพื่อปิดการทำงานของไฟร์วอลล์ของ Palo Alto Networks โดยการส่งแพ็กเกจที่เป็นอันตรายผ่าน data plane ของไฟร์วอลล์ ทำให้ไฟร์วอลล์รีบูตตัวเองเข้าสู่โหมดการบำรุงรักษา และจะใช้งานไม่ได้ จนกว่าจะคนเข้าไปจัดการให้รึบูตเข้าสู่โหมดปกติอีกครั้ง ช่องโหว่นี้มีผลกระทบต่ออุปกรณ์ที่เปิดใช้งานการบันทึก DNS Security และมีการแก้ไขใน PAN-OS เวอร์ชัน 10.1.14-h8, 10.2.10-h12, 11.1.5, และ 11.2.3 ส่วน PAN-OS 11.0 และเก่ากว่าจะไม่ได้รับการแก้ไขเนื่องจากถึงวันหมดอายุการใช้งาน (EOL) แล้ว Palo Alto Networks ได้เผยแพร่แนวทางแก้ไขและขั้นตอนการลดปัญหาสำหรับผู้ที่ไม่สามารถอัปเดตได้ทันที เช่น การเปลี่ยนแปลงการตั้งค่าความรุนแรงของการบันทึก DNS Security เป็น "none" และการเปิดเคสสนับสนุนเพื่อปิดการบันทึก DNS Security ในทุก NGFWs https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/

สนใจFirewall สอบถามได้ครับ #sophos #firewallthai

Xgs2100 #sophos #firewallthai

วันนี้อัพเฟริมแวร์ Firewall #firewallthai #sophos

อัพเฟริมแวร์... #Firewakll #Sophos😊 #firewallthai

www.firewallthai.com